الرئيسية المنتدى مركز رفع الصور صفحتنا على الفيس قناة اليوتيوب صفحتنا على تويتر واتس اب قوانين المنتدى
منتدى مجمع التطوير    

العودة   منتدى مجمع التطوير > المنتدى المتخصص > لغـات البرمجـة والمشـاريع الجـاهزة > برمجة الويب web development

الملاحظات

برمجة الويب web development يهتم ببرامج الويب php, Sql, Java ,asp.net ,xml ,html

آخر 10 مشاركات ملف ال robots.txt وتوجيه عناكب محركات البحث لموقعك (الكاتـب : admin - مشاركات : 2 - المشاهدات : 249 - الوقت: 01:24 PM - التاريخ: 07-21-2021)           »          أهلا وسهلا أليت تيم رياك (الكاتـب : رياك مشار - مشاركات : 2 - المشاهدات : 178 - الوقت: 05:58 PM - التاريخ: 07-03-2021)           »          تحميل لعبة فرايدي نايت فانكن Friday Night Funkin للكمبيوتر 2021 (الكاتـب : الادارة كريم - آخر مشاركة : admin - مشاركات : 2 - المشاهدات : 417 - الوقت: 10:41 PM - التاريخ: 07-01-2021)           »          برنامج البيع بالتقسيط مجاني مصمم بالاكسيس (الكاتـب : ابن الوليد - آخر مشاركة : admin - مشاركات : 1 - المشاهدات : 559 - الوقت: 04:37 AM - التاريخ: 06-25-2021)           »          الصحابي الجليل سعد بن معاذ الأنصاري (الكاتـب : admin - مشاركات : 0 - المشاهدات : 206 - الوقت: 01:25 AM - التاريخ: 06-25-2021)           »          كيفية صلاة الحاجة (الكاتـب : admin - مشاركات : 0 - المشاهدات : 201 - الوقت: 12:13 AM - التاريخ: 06-25-2021)           »          Format FactoryV5.7.5.0 (الكاتـب : admin - مشاركات : 0 - المشاهدات : 228 - الوقت: 11:01 PM - التاريخ: 06-24-2021)           »          رجل أقسم بأن لا يتزوج حتى يشاور مائة رجل (الكاتـب : admin - مشاركات : 0 - المشاهدات : 230 - الوقت: 09:57 PM - التاريخ: 06-24-2021)           »          سلاحف الننجا2 (الكاتـب : admin - مشاركات : 2 - المشاهدات : 360 - الوقت: 02:31 AM - التاريخ: 06-22-2021)           »          كيفية عمل رسم بياني في Excel وإضافة مرئيات إلى تقاريرك (الكاتـب : الادارة كريم - آخر مشاركة : admin - مشاركات : 1 - المشاهدات : 219 - الوقت: 04:56 PM - التاريخ: 06-21-2021)

إضافة رد
 
أدوات الموضوع انواع عرض الموضوع
  #1  
قديم 05-29-2021, 03:39 AM
الصورة الرمزية الادارة كريم
الادارة كريم 
..:: المـديـر العــام ::..
 
تاريخ التسجيل: May 2021
الدولة: مصر
المشاركات: 397
معدل تقييم المستوى: 17
الادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to behold


? كيف تحمي موقعك من ثغرة xss

 

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
صباح-مساء الخير على الجميع

في هذا الدرس سنتحدث عن:-

  • ما هي ثغرة XSS
  • انواع ثغرة XSS
  • اضرار الثغرة
  • الحماية من الثغرة
  • تطبيق عملي
ماهي ثغرة XSS:
البرمجة عبر المواقع / هجوم حقن الشيفرة المصدريّة عبر موقع وسيط (بالإنجليزية: (Cross-site scripting (XSS) هي أحد أنواع الهجوم التي يتعرض لها الأنظمة الحاسوبية، ونجدها خصوصاً في تطبيقات الإنترنت عبر ما يسمى برمجة بالحقن، التي يلجأ فيها بعض مستخدمي الإنترنت المخربين لإدخال بعض الجمل البرمجية للصفحات التي يستعرضها الآخرون.
- wikipedia
انواع ثغرة XSS:
  • Reflected
  • stored
  • DOM-based
اضرار الثغرة:
تعتمد ثغرة XSS على استغلال المدخلات التي يتم ادخالها المهاجم وتكون بالغالب مبرمجه بـ لغة Javascript أو html حيث يتمكن المهاجم من سرقة "" لأنتحال شخصيتك في الموقع المستهدف أو تحويلك الى صفحة اخرى مشابهه للموقع المستهدف كـ صفحة مزورة يتمكن من خلالها سرقة حسابات المستخدمين أو تحويل المستخدمين لتحميل برمجيات خبيثه كـ برمجيات تجسسيه او فدية
الحماية من الثغرة:

المتضررين من الغثره هم المستخدم والمبرمج
  • المستخدم
لابد على المستخدم ان يتسخدم اخر اصدار من المتصفح وايضا استخدام اضافه NoScript وعدم الدخول على الروابط القادمه من طرف مجهول
  • المبرمج
لابد على المبرمج التاكد من صحه مدخلاته وخلوها من الاخطاء التي تمكن المهاجم من استغلال ثغره XSS ويقوم بفلتره مدخلاته
تطبيق عملي:






هنا لدي كود بسيط مهمته اخذ قيمة name من المدخلات وطباعتها بالصفحه وهنا سنطبق استغلال الغثره وكيف نحمي المدخلات.




 
  <html> <head><title>0xAbdullah LAB | XSS</title></head> <body> <form action="" method="post"> <input type="text" name="name" value="" /> <input type="submit" name="submit" value="Submit" /> </form> <?php if (isset($_POST['submit'])) { $name= $_POST['name']; echo "Welcome $name"; } ?> </body> <html>


على سبيل المثال ساقوم بأدخال اسمي ومن ثم سيقوم بطباعته كتالي

: Welcome Abdullah

ولكن ماذا لو قمت ارسال كود html هل سيقوم بطباعته؟ الاجابه نعم بكل تاكيد بسبب أن المدخلات لم يتم فلترتها سياخذ المدخل من قبل المهاجم وطباعته مثل ماتم ارساله!

الان سنقوم بـتجربه كود Javascript مهمته هو تحويلنا الى موقع اخر



كود:
 
  <script> document.location = 'https://3alam.pro';</script> 


الان نريد ان نقوم بفلترة المدخل لدينا لكي يتم منع استغلال الثغرة وذلك يتم عن طريق استخدام داله بأسم (strip_tags) مهمة الدالة هي حذف اكواد html وطباعه النص

 
 
 
 
<html> <head><title>0xAbdullah LAB | XSS</title></head> <body> <form action="" method="post"> <input type="text" name="name" value="" /> <input type="submit" name="submit" value="Submit" /> </form> <?php if (isset($_POST['submit'])) { $name= $_POST['name']; echo strip_tags("Welcome $name"); } ?> </body> <html>



قمنا بوضع الدالة قبل عملية الطباعه, ليتم فلترة المدخلات من المتغير "name" ومن ثم طباعتها. الان نعيد اختبار المدخلات لدينا بمثل ما فعلنا سابقاً .

كما نلاحظ تم فتلرة المدخلات وترقيع الثغرة بهذه السهولة
النهاية: اتمنى الشرح كان واضح للجميع وكود أمن للجميع 3> إن أحسنت فمن الله، وإن أسأت أو أخطأت فمن نفسي والشيطان


الموضوع الأصلي : كيف تحمي موقعك من ثغرة xss || الكاتب : الادارة كريم || المصدر : منتدى مجمع التطوير

 

رد مع اقتباس
قديم 05-29-2021, 10:09 PM   #2
admin
✯ ادارة المنتدى ✯
 
الصورة الرمزية admin
 
تاريخ التسجيل: Mar 2021
الدولة: مصر
المشاركات: 722
معدل تقييم المستوى: 10
admin is a splendid one to beholdadmin is a splendid one to beholdadmin is a splendid one to beholdadmin is a splendid one to beholdadmin is a splendid one to beholdadmin is a splendid one to behold


افتراضي

مشكور على الافادة العظيمة
admin متواجد حالياً
 
رد مع اقتباس
قديم 06-06-2021, 02:49 AM   #3
الادارة كريم
..:: المـديـر العــام ::..
 
الصورة الرمزية الادارة كريم
 
تاريخ التسجيل: May 2021
الدولة: مصر
المشاركات: 397
معدل تقييم المستوى: 17
الادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to beholdالادارة كريم is a splendid one to behold


افتراضي

مرورك الاروع

نورت
الادارة كريم غير متواجد حالياً
 
رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)

أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
[شرح] حماية موقعك | كيفية حماية التدوينات من السرقة الادارة كريم برمجة الويب web development 0 05-29-2021 03:28 AM
دليلك لبناء الباك لينك Backlink لموقعك بطريقة صحيحة admin المجـلات والبوابات الرئيسـية للمواقـع 0 05-18-2021 06:19 PM
[شرح Frontpage] تصميم موقعك الخاص بستخدام فرونت بيج admin برامج Microsoft Office 0 05-18-2021 06:05 PM
شرح كيفية النسخ من المواقع التى لا تقبل النسخ admin المجـلات والبوابات الرئيسـية للمواقـع 0 04-11-2021 10:33 PM
[ تصميم Access] برنامج ادارة بيانات الدورات التدريبية والمتدربين المشتركين على الاكسيس ابن الوليد برامج Microsoft Office 1 04-10-2021 04:33 PM

 

موقع ومنتديات مجمع التطوير موقع يختص بالبرمجة والبرامج المساعدة  للتصاميم والأدوات المساعدة ,مع تقديم العون والمساعدة لكل مبرمج من خلال الأقسام المحددة , كما نعرض الأعمال الجاهزة والمفتوحة المصدر. ويهتم أيضا بالتصاميم والجرافيك وبرامجها وعرض التصاميم وملحقات التصاميم والأدوات المساعدة .كما نتمنى التوفيق لنا ولكم مع أجمل تحية مقدمة منا. 

  • الرئــيســية

  • الــمنــتـدى

  • مركز الرفع

  • التسـجـيل

  • قوانين المنتدى

  • التعـلـيمـات

  • الترقيات

check pagerank

 Flag Counter

كلمة الإدارة  منتدى مجمع التطوير غير مسئول عن أي طرح من الأعضاء فتلك الموضوعات تعبر عن رأى صاحبها ومن خلال وضع قوانين وتعليمات المشاركة بالمنتدى نسعى جاهدين لتطبيق تلك التعليمات. والمنتدى أيضا غير مسئول عن أي اتفاق مالي أو تجارى بين الأعضاء وبذلك تعد هذه الصيغة إخلاء مسئولية من جانب إدارة المنتدى وفقنا ووفقكم الله لما فيه الخير
 
الساعة الآن 05:18 PM


Powered by vBulletin® Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
جميع الحقوق محفوظة لمجمع التطوير